Přímé zacílení na uživatelská data s cílem ukrást velké sumy peněz, což je jedna z nejnebezpečnějších forem malware, Ransomware stránky představuje pro výrobce velké výzvy Antivirus, nuceni uchýlit se k agresivním metodickým postupům, aby zajistili, že uživatelé nebudou ovlivněni. Bohužel, bez ohledu na to, jak dobrý je použitý antivirový program, obnova všech napadených souborů zůstává infekce s Ransomware není to vůbec zaručeno, prevence je jediný skutečně účinný způsob ochrany.
Typ malwaru schopný vymazat sbírku fotografií a dokumentů z paměti zařízení a zanechat po sobě zašifrované verze, které lze otevřít pouze pomocí přístupového klíče, ransomware je digitální verze loupeží s braním rukojmích.
Jestliže první formy ransomwaru používaly poměrně rudimentární metody, šifrování souborů uživatelů pomocí unikátních šifrovacích klíčů, relativně snadno obnovitelné pro výrobce antivirů, kteří poskytovali dezinfekční nástroje, schopné plně obnovit zablokované soubory, nelze totéž říci o mnohem sofistikovanějších variantách (např. Cryptowall), které generují jedinečné šifrovací klíče pro každé infikované zařízení, které předávají sběrnému serveru ve vlastnictví útočníků. Takto zašifrované soubory většinou nelze obnovit, škody způsobené postiženým uživatelům a společnostem jsou značné.
V závislosti na verzi se tato forma malwaru může šířit využíváním zranitelností webový prohlížeč, který se aktivuje při návštěvě napadené webové stránky nebo omylem nainstaluje komponentu rozšíření nebo pluginu navrženou při návštěvě webové stránky. Dalším méně známým způsobem automatického spouštění virů na počítačích obětí a šifrování jejich obsahu je připojování infikovaných souborů k přesvědčivě formulovaným e-mailovým zprávám, někdy dokonce personalizovaným pro vybraný cíl. Toto je preferovaná metoda Cryptowall, pokročilá verze Cryptolocker, která zašifruje dokumenty z infikovaných počítačů a poté po uživateli požaduje peníze výměnou za dešifrovací klíč. Infikovaný soubor připojený k e-mailové zprávě používá přípona .chm, spojené HTML formát zkompilovaný, zdánlivě neškodný typ souboru, který se běžně používá k doručování uživatelských příruček a softwarových aplikací. Ve skutečnosti jsou tyto soubory interaktivní a provozují řadu technologií, které zahrnují JavaScript, mající možnost přesměrovat uživatele na externí adresu. Po jednoduchém otevření a soubor .chm, provádí různé akce nezávisle, konečným cílem je vytvoření infekce.
relativně nový, Trojan.DownLoad3.35539 (varianta CTB-Locker) je distribuován prostřednictvím e-mailových zpráv, jako příloha v ZIP archiv, obsahující soubor s .SCR rozšíření. Pokud je soubor otevřen, infikovaný program se rozbalí na pevný disk dokument RTF které zobrazuje na displeji. Mezitím se na pozadí stahuje šifrovací program ze serveru pod kontrolou útočníků. Po dekomprimaci a aktivaci pokračuje ve skenování úložných zařízení při hledání osobních dokumentů uživatele, které zabaví, a nahradí originál zašifrovanou verzí. Po dokončení mise je uživatel upozorněn zprávou, že musí zaplatit za proplacení osobních údajů.
Jak zabráníte infekci Cryptowallem a dalšími podobnými formami ransomwaru?
Podle pokynů odborníků Bitdefender, běžní uživatelé a správci systému mohou výrazně snížit riziko infekce a také škody jí způsobené, s ohledem na některá základní pravidla:
- Využívá neustále aktualizované bezpečnostní řešení IT schopné aktivního skenování.
- jízdní řády záložní-ul soubory na jednom nebo více externích pevných discích, které nejsou trvale připojeny k PC nebo v místní síti nebo pomocí službu cloudové úložiště.
- Vyhněte se návštěvě neznámých stránek, nepřistupujte k odkazům nebo souborům obsaženým jako přílohy e-mailových zpráv nejistého původu a neposkytujte osobní údaje na veřejných chatech nebo fórech. Někdy je možné, že zprávy s infikovanými přílohami budou přijaty i ze známých adres, pokud byl počítač na druhém konci kompromitován nebo e-mailová adresa byla nesprávně přidána do pole Odesílatel.
- Implementujte/povolte také řešení pro blokování reklam antispamový filtr.
- Použijte webový prohlížeč s podporou virtualizace nebo zcela vypněte podporu přehrávání obsahu Blikat.
- Zaměstnavatelé by měli své zaměstnance školit ohledně identifikace pokusů o sociální inženýrství a Phishingpomocí e-mailových zpráv.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Zároveň musí správci systému vynutit skupinové zásady, aby zablokovali spuštění viru z konkrétních míst. To lze provést na Windows Professional nebo Edice Windows Server. volba Zásady omezení softwaru najdete v editoru Místní bezpečnostní politika. Po zpřístupnění tlačítka Nové zásady omezení softwaru zdola Další pravidla, bude použito následující Pravidla cesty s úrovní zabezpečení “Nepovoleno”:
Použití těchto mechanismů by mělo omezit nebo zablokovat Cryptowallale pro větší ochranu, Bitdefender nám navrhuje Cryptowall Imunizér. Působí jako další ochranný mechanismus, který funguje paralelně s antivirové řešení Nástroj je trvale aktivován a umožňuje uživatelům imunizovat jejich počítače a blokovat jakýkoli pokus o to šifrování souborů, než k tomu dojde.
